Drie belangrijke security-uitdagingen in 2016

TNO becijferde onlangs dat digitale criminaliteit onze samenleving minimaal tien miljoen euro per jaar kost. Het bedrijfsleven is met driekwart van de schade het grootste slachtoffer van deze cybercrime. James Lyne, global head of security research bij Sophos en zelfverklaard security geek, zet de drie grootste gevaren voor 2016 op een rijtje.

1. Nieuwe distributiewijze van malware
“Een belangrijke ontwikkeling die al even aan de gang is, maar in het nieuwe jaar flink zal doorzetten, is de nieuwe manier van distribueren van malware. Eigenlijk is het helemaal geen nieuwe manier, maar grijpen cybercriminelen terug naar methodes uit de jaren negentig. Heel retro. Waar de laatste jaren malware voornamelijk via de browser werd geactiveerd, worden infecties steeds meer verstuurd in Word-documenten of Powerpoints. Cybercriminelen hebben hun werkzaamheden gecombineerd met een hogere kwaliteit social engineering dan we eerder zagen. Het gevaar is dat veel werknemers zich niet bewust zijn van document gebaseerde malware. Het grote verschil met de jaren 90 is dat het er tegenwoordig heel waarheidsgetrouw uitziet. Daarbij zijn we inmiddels getraind om niet op plaatjes van Anna Kournikova te klikken, vreemde script files en executables, maar de vertrouwde werkplekbestanden zien we niet snel als gevaarlijk. Daarmee vertrouwen de cybercriminelen op de mens als zwakke schakel in de security-keten. Belangrijk is om, naast uiteraard de technische beveiligingsmaatregelen, opnieuw bewustzijn te creëren bij werknemers.”

2. Onwetendheid over nieuwe wetgeving
“Een heel groot gevaar voor het komende jaar is dat nog steeds vrij weinig bedrijven, voornamelijk mkb’ers, zich niet bewust zijn van de veranderende security-wetgeving en de gevolgen die dat voor hen heeft. In Nederland is sinds kort de meldplicht datalekken van kracht, die vanaf 1 januari 2016 ook daadwerkelijk moet worden nageleefd en waar op dat moment boetes voor kunnen worden uitgedeeld als een bedrijf daarin faalt. Die boetes kunnen fors oplopen. Ook op Europees niveau wordt er gewerkt aan wet- en regelgeving op dit gebied waar Nederlandse bedrijven mee te maken krijgen. Ik zie dat veel bedrijven zich ten eerste niet eens bewust zijn van de veranderingen, en ten tweede niet over de verplichte effectieve en geschikte security-toepassingen beschikken. Daarmee lopen ze direct kans op boetes die kunnen oplopen tot 810.000 euro of 10 procent van de omzet.”

3. De risico’s van het Internet of Things
“Iedereen is verrukt over de mogelijkheden van het IoT. Dat is begrijpelijk, want dat gaat de wereld veranderen. Tegelijkertijd zal iedere onderzoeker je vertellen dat het een complete nachtmerrie is op beveiligingsgebied. Zo blijken er forse gebreken te zitten in veel IoT-devices, waardoor ze vaak niet beschikken over de juiste security. Sterker nog, ze gaan 10 jaar terug in de tijd gaan als het gaat om beveiliging; ze zijn onrijp en basaal vergeleken met moderne platformen. Als dat zo is, waarom hebben we dan nog geen grote hack meegemaakt? Dat komt doordat cybercriminelen momenteel financiële of politieke doelen hebben. De meeste IoT-devices zijn nog speelgoed, dus hebben nog niet de aandacht van de cybercriminelen. Maar in het tempo dat IoT zich ontwikkeld en er chips, sensoren en actuatoren in producten en objecten worden ingebouwd, is het slechts een kwestie van tijd voordat het interessant wordt voor de kwaadwillenden van deze wereld. Over een aantal jaren is die apparatuur overal, zonder dat je er iets voor hoeft te doen. Er zitten dan sensoren in je oven, in het licht, et cetera. Als al die apparatuur geen gedegen beveiliging heeft, dan geven we de cybercriminelen ongeëvenaarde mogelijkheden in de fysieke wereld vanuit de digitale wereld. We moeten ons nú heel goed gaan verdiepen in de beveiliging van al die IoT-devices, voordat het straks te laat is.”